4742(S) : un compte d’ordinateur a été modifié.

Event 4742 illustration

Sous-catégorie :   Auditer la gestion des comptes d’ordinateur

Description de l'événement :

Cet événement est généré chaque fois qu’un objet ordinateur est modifié.

Cet événement est généré uniquement sur les contrôleurs de domaine.

Vous pouvez voir les **** mêmes valeurs pour l’ID de sécurité de l’objet et le compte d’ordinateur qui ont été \ **** modifiés \ dans cet événement. Cela se produit généralement lorsque vous redémarrez un ordinateur après l’avoir ajouté au domaine (la modification prend effet après le redémarrage).

Pour chaque modification, un événement 4742 distinct est généré.

Certaines modifications n’appellent pas un événement 4742, par exemple, les **** modifications apportées à l’aide de la console de gestion Utilisateurs et ordinateurs Active Directory dans l’onglet Géré par dans les propriétés du compte d’ordinateur.

Vous pouvez voir cet événement sans aucune modification à l’intérieur, c’est-à-dire, où tous les attributs modifiés apparaissent comme « - ». Cela se produit généralement lorsqu’une modification est apporté à un attribut qui n’est pas répertorié dans l’événement. Dans ce cas, il n’existe aucun moyen de déterminer l’attribut qui a été modifié. Par exemple, cela se produit si vous modifiez la description d’un objet groupe à l’aide de la console d’administration Utilisateurs et ordinateurs Active Directory. En outre, si la liste de contrôle d’accès discrétionnaire (DACL) est modifiée, un événement 4742 est généré, mais tous les attributs seront « - ».

Important: Si vous modifiez manuellement un paramètre ou un attribut lié à l’utilisateur, par exemple si vous définissez l’indicateur SMARTCARD_REQUIRED dans userAccountControl pour le compte d’ordinateur, le sAMAccountType du compte d’ordinateur sera modifié en NORMAL_USER_ACCOUNT et vous recevez «4738: Un compte d’utilisateur a été modifié » au lieu de 4742 pour ce compte d’ordinateur. Essentiellement, le compte d’ordinateur « devient » un compte d’utilisateur. Pour NORMAL_USER_ACCOUNT vous recevez toujours des événements à partir de la sous-catégorie Auditer la gestion des comptes d’utilisateurs. Nous vous recommandons vivement d’éviter de modifier manuellement les paramètres liés à l’utilisateur pour les objets ordinateur.

** Remarque **  Pour les recommandations, voir les recommandations en matière de surveillance de la sécurité pour cet événement.


XML event :

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4742</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>13825</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-08-14T02:35:01.252397000Z" /> 
 <EventRecordID>171754</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="520" ThreadID="1108" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="ComputerAccountChange">-</Data> 
 <Data Name="TargetUserName">WIN81$</Data> 
 <Data Name="TargetDomainName">CONTOSO</Data> 
 <Data Name="TargetSid">S-1-5-21-3457937927-2839227994-823803824-6116</Data> 
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x2e80c</Data> 
 <Data Name="PrivilegeList">-</Data> 
 <Data Name="SamAccountName">-</Data> 
 <Data Name="DisplayName">-</Data> 
 <Data Name="UserPrincipalName">-</Data> 
 <Data Name="HomeDirectory">-</Data> 
 <Data Name="HomePath">-</Data> 
 <Data Name="ScriptPath">-</Data> 
 <Data Name="ProfilePath">-</Data> 
 <Data Name="UserWorkstations">-</Data> 
 <Data Name="PasswordLastSet">-</Data> 
 <Data Name="AccountExpires">-</Data> 
 <Data Name="PrimaryGroupId">-</Data> 
 <Data Name="AllowedToDelegateTo">%%1793</Data> 
 <Data Name="OldUacValue">0x80</Data> 
 <Data Name="NewUacValue">0x2080</Data> 
 <Data Name="UserAccountControl">%%2093</Data> 
 <Data Name="UserParameters">-</Data> 
 <Data Name="SidHistory">-</Data> 
 <Data Name="LogonHours">-</Data> 
 <Data Name="DnsHostName">-</Data> 
 <Data Name="ServicePrincipalNames">-</Data> 
 </EventData>
 </Event>

Rôles serveur requis : Contrôleur de domaine Active Directory.

Version minimale du système d’exploitation : Windows Server 2008.

Versions des événements : 0.

Descriptions des champs :

Objet:

  • ID de sécurité [Type = SID]**** : SID du compte qui a demandé l’opération « modifier l’objet Ordinateur ». Le visionneur d'événements tente automatiquement de résoudre les SID et d'afficher le nom du compte. Si la PIM ne peut pas être résolue, vous verrez les données sources dans l'événement.

** Remarque**  Un** identificateur de sécurité (SID)** est une valeur unique de longueur variable utilisée pour identifier un fiduciaire (principal de la sécurité). Chaque compte possède un SID unique qui est délivré par une autorité, telle qu'un contrôleur de domaine Active Directory, et stocké dans une base de données de sécurité. Chaque fois qu'un utilisateur se connecte, le système récupère le SID pour cet utilisateur dans la base de données et le place dans le jeton d'accès pour cet utilisateur. Le système utilise le SID du jeton d'accès pour identifier l'utilisateur dans toutes les interactions ultérieures avec la sécurité de Windows. Lorsqu'un SID a été utilisé comme identifiant unique pour un utilisateur ou un groupe, il ne peut plus jamais être utilisé pour identifier un autre utilisateur ou groupe. Pour plus d'informations sur les SIDs, voir Identificateurs de sécurité.

  • Nom du compte [Type = UnicodeString]**** : nom du compte qui a demandé l’opération « modifier l’objet Ordinateur ».

  • Domaine du compte [Type = UnicodeString]: nom de domaine de l’objet. Les formats varient et comprennent les éléments suivants :

    • Exemple de nom de domaine NETBIOS : CONTOSO

    • Nom de domaine complet en minuscules : contoso.local

    • Nom de domaine complet en majuscules : CONTOSO.LOCAL

    • Pour certains principes de sécurité bien connus, tels que LOCAL SERVICE ou ANONYMOUS LOGON, la valeur de ce champ est « NT AUTHORITY».

  • Identification de connexion [Type = HexInt64]: valeur hexadécimale qui peut vous aider à corréler cet événement avec des événements récents qui pourraient contenir la même identification de connexion, par exemple, «4624: Un compte a été connecté avec succès».

Compte d’ordinateur modifié :

  • ID de sécurité [Type = SID]: SID du compte d’ordinateur modifié. Le visionneur d'événements tente automatiquement de résoudre les SID et d'afficher le nom du compte. Si la PIM ne peut pas être résolue, vous verrez les données sources dans l'événement.

  • Nom du compte [Type = UnicodeString]**** : nom du compte d’ordinateur qui a été modifié. Par exemple : WIN81$

  • Domaine du compte [Type = UnicodeString]: nom de domaine du compte d’ordinateur modifié. Les formats varient et comprennent les éléments suivants :

    • Exemple de nom de domaine NETBIOS : CONTOSO

    • Nom de domaine complet en minuscules : contoso.local

    • Nom de domaine complet en majuscules : CONTOSO.LOCAL

Attributs modifiés :

****   Remarque   Si l’attribut n’a pas été modifié, il aura la valeur « - ».

  • Nom du compte SAM [Type = UnicodeString]: nom d’authentification du compte utilisé pour prendre en charge les clients et les serveurs des versions précédentes de Windows (nom d’Windows 2000). Si la valeur de l’attribut sAMAccountName de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici. Par exemple : WIN8$.

  • Nom complet [Type = UnicodeString]: il s’agit d’un nom affiché dans le carnet d’adresses d’un compte particulier (généralement : compte d’utilisateur). Il s’agit généralement de la combinaison du prénom, de l’initiale du deuxième prénom et du nom de famille de l’utilisateur. Pour les objets ordinateur, il est facultatif et n’est généralement pas définie. Vous pouvez modifier cet attribut à l’aide des utilisateurs et ordinateurs Active Directory, ou par le biais d’un script, par exemple. Si la valeur de l’attribut displayName de l’objet ordinateur a été modifiée, la nouvelle valeur s’affiche ici.

  • Nom d’utilisateur principal [Type = UnicodeString]: nom de connexion de type Internet pour le compte, basé sur la norme Internet RFC 822. Par convention, cela doit être mapé sur le nom de messagerie du compte. Si la valeur de l’attribut userPrincipalName de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici. Pour les objets ordinateur, il est facultatif et n’est généralement pas définie. Vous pouvez modifier cet attribut à l’aide des utilisateurs et ordinateurs Active Directory, ou par le biais d’un script, par exemple.

  • Répertoire d’accueil [Type = UnicodeString]: répertoire d’accueil de l’utilisateur. Si l’attribut homeDrive est définie et spécifie une lettre de lecteur, homeDirectory doit être un chemin UNC. Le chemin d’accès doit être un UNC réseau de la forme \\Server\Share\Directory. Si la valeur de l’attribut homeDirectory de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici. Pour les objets ordinateur, il est facultatif et n’est généralement pas définie. Vous pouvez modifier cet attribut à l’aide des utilisateurs et ordinateurs Active Directory, ou par le biais d’un script, par exemple.

  • Lecteur d’accueil [Type = UnicodeString]**** : spécifie la lettre de lecteur à laquelle maque le chemin UNC spécifié par l’attribut du compte homeDirectory. La lettre de lecteur doit être spécifiée sous la forme « DRIVE_LETTER: ». Par exemple : « H: ». Si la valeur de l’attribut homeDrive de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici. Pour les objets ordinateur, il est facultatif et n’est généralement pas définie. Vous pouvez modifier cet attribut à l’aide des utilisateurs et ordinateurs Active Directory, ou par le biais d’un script, par exemple.

  • Script Path [Type = UnicodeString]: spécifie le chemin d’accès du script d’authentification du compte. Si la valeur de l’attribut scriptPath de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici. Pour les objets ordinateur, il est facultatif et n’est généralement pas définie. Vous pouvez modifier cet attribut à l’aide des utilisateurs et ordinateurs Active Directory, ou par le biais d’un script, par exemple.

  • Chemin d’accès du profil [Type = UnicodeString]: spécifie un chemin d’accès au profil du compte. Cette valeur peut être une chaîne null, un chemin d’accès absolu local ou un chemin UNC. Si la valeur de l’attribut profilePath de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici. Pour les objets ordinateur, il est facultatif et n’est généralement pas définie. Vous pouvez modifier cet attribut à l’aide des utilisateurs et ordinateurs Active Directory, ou par le biais d’un script, par exemple.

  • Stations de travail utilisateur [Type = UnicodeString]: contient la liste des noms NetBIOS ou DNS des ordinateurs à partir des lesquels l’utilisateur peut se logon. Chaque nom d’ordinateur est séparé par une virgule. Le nom d’un ordinateur est la propriété sAMAccountName d’un objet ordinateur. Si la valeur de l’attribut userWorkstations de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici. Pour les objets ordinateur, il est facultatif et n’est généralement pas définie. Vous pouvez modifier cet attribut à l’aide des utilisateurs et ordinateurs Active Directory, ou par le biais d’un script, par exemple.

  • Dernier jeu de mots de passe [Type = UnicodeString]**** : dernière modification du mot de passe du compte. Si la valeur de l’attribut pwdLastSet de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici. Par exemple : 12/8/2015 11:41:39 AM. Cette valeur sera modifiée, par exemple, après l’action de réinitialisation manuelle du compte d’ordinateur ou automatiquement tous les 30 jours par défaut pour les objets ordinateur.

  • Le compte expire [Type = UnicodeString]: date d’expiration du compte. Si la valeur de l’attribut accountExpires de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici. Pour les objets ordinateur, il est facultatif et n’est généralement pas définie. Vous pouvez modifier cet attribut à l’aide d’Utilisateurs et ordinateurs Active Directory ou d’un script, par exemple.

  • ID de groupe principal [Type = UnicodeString]: Identificateur relatif (RID) du groupe principal d’objets de l’ordinateur.

****   Remarque   L’identificateur relatif (RID) est un numéro de longueur variable affecté aux objets lors de la création et qui fait partie de l’identificateur de sécurité (SID) de l’objet qui identifie de manière unique un compte ou un groupe au sein d’un domaine.

Ce champ contient une valeur si le groupe principal d’objets de l’ordinateur a été modifié. Vous pouvez modifier le groupe principal de l’ordinateur à l’aide de la console de gestion Utilisateurs et ordinateurs Active Directory dans l’onglet Membre des propriétés de l’objet ordinateur. Vous verrez un rid du nouveau groupe principal en tant que valeur de champ. Par exemple, 515 (ordinateurs de domaine) pour les stations de travail est un groupe principal par défaut.

Valeurs de groupe principal classiques pour les comptes d’ordinateur :

  • 516 (contrôleurs de domaine) : pour les contrôleurs de domaine.

  • 521 (contrôleurs de domaine en lecture seule) : contrôleurs de domaine (RODC) en lecture seule.

  • 515 (ordinateurs de domaine) : serveurs et stations de travail.

    Pour plus https://support.microsoft.com/kb/243330 d’informations, consultez cet article. Si la valeur de l’attribut primaryGroupID de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici.

  • AllowedToDelegateTo [Type = UnicodeString]: liste des SNS pour lesquels ce compte peut présenter des informations d’identification déléguées. Peut être modifié à l’aide de la console de gestion Utilisateurs et ordinateurs Active Directory sous l’onglet Délégation du compte d’ordinateur. Si la liste des **** SNS sous l’onglet Délégation d’un compte d’ordinateur a été modifiée, vous verrez la nouvelle liste de SLAN dans le champ AllowedToDelegateTo (notez que vous verrez la nouvelle liste au lieu des modifications) de cet événement. Voici un exemple de AllowedToDelegateTo:

    • dcom/WIN2012

    • dcom/WIN2012.contoso.local

      Si la valeur de l’attribut msDS-AllowedToDelegateTo de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici.

      La valeur peut être ** < non définie, > **par exemple, si la délégation a été désactivée.

****   Remarque   Le nom principal de service (SPN) est le nom par lequel un client identifie de manière unique une instance d’un service. Si vous installez plusieurs instances d’un service sur des ordinateurs dans une forêt, chaque instance doit avoir son propre nom de service. Une instance de service donnée peut avoir plusieurs noms de service s’il existe plusieurs noms que les clients peuvent utiliser pour l’authentification. Par exemple, un SPN inclut toujours le nom de l’ordinateur hôte sur lequel l’instance de service est en cours d’exécution, de sorte qu’une instance de service peut inscrire un nom de service pour chaque nom ou alias de son hôte.

  • Ancienne valeur UAC [Type = UnicodeString]: spécifie les indicateurs qui contrôlent le mot de passe, le verrouillage, la désactivation/l’activer, le script et tout autre comportement pour le compte d’utilisateur ou d’ordinateur. Ce paramètre contient la valeur précédente de l’attribut userAccountControl de l’objet ordinateur.

  • Nouvelle valeur UAC [Type = UnicodeString]: spécifie les indicateurs qui contrôlent le mot de passe, le verrouillage, la désactivation/l’activer, le script et tout autre comportement pour le compte d’utilisateur ou d’ordinateur. Si la valeur de l’attribut userAccountControl de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici.

Pour décoder cette valeur, vous pouvez passer par les définitions de valeur de propriété dans le « Tableau 7. Indicateurs UAC du compte de l’utilisateur ou de l’ordinateur. » du plus grand au plus petit. Comparez chaque valeur de propriété à la valeur des indicateurs dans l’événement. Si la valeur des indicateurs dans l’événement est supérieure ou égale à la valeur de la propriété, la propriété est « définie » et s’applique à cet événement. Soustrayez la valeur de la propriété de la valeur des indicateurs dans l’événement et notez que l’indicateur s’applique, puis passe à l’indicateur suivant.

Voici un exemple : Indicateurs de valeur de l’événement : 0x15

Décodage :

• PASSWD_NOTREQD 0x0020

• Verrouillage 0x0010

• HOMEDIR_REQUIRED 0x0008

• (non déclarée) 0x0004

• 0X0002

• Script 0x0001

0x0020 > 0x15, pasSWD_NOTREQD ne s’applique pas à cet événement

0x10 < 0x15, le verrouillage s’applique à cet événement. 0x15 - 0x10 = 0x5

0x4 0x5, la valeur non déclarée < est donc définie. Nous prétendrons que cela ne signifie rien. 0x5 - 0x4 = 0x1

0x2 > 0x1, donc ACCOUNTDISABLE ne s’applique pas à cet événement

0x1 = 0x1, donc SCRIPT s’applique à cet événement. 0x1 - 0x1 = 0x0, nous avons terminé.

Ainsi, ce contrôle UAC permet de décoder les valeurs de : LOCKOUT et SCRIPT

  • Contrôle de compte d’utilisateur [Type = UnicodeString]**** : affiche la liste des modifications apportées à l’attribut userAccountControl. Vous verrez une ligne de texte pour chaque modification. Consultez les valeurs possibles ici : « Tableau 7. Indicateurs UAC du compte de l’utilisateur ou de l’ordinateur. » Dans la colonne « Texte du champ Contrôle de compte d’utilisateur », vous pouvez voir le texte qui sera affiché dans le champ Contrôle de compte d’utilisateur dans l’événement 4742. ****
  • Paramètres utilisateur [Type = UnicodeString]: si vous modifiez un paramètre à l’aide de la console de gestion Utilisateurs et ordinateurs Active Directory dans l’onglet Dial-in des propriétés du compte de l’ordinateur, la valeur est ** < modifiée, > ** mais pas affichée dans ce champ.

  • SiD History [Type = UnicodeString]: contient les SID précédents utilisés pour l’objet si l’objet a été déplacé à partir d’un autre domaine. Chaque fois qu’un objet est déplacé d’un domaine à un autre, un nouveau SID est créé et devient l’objectSID. Le SID précédent est ajouté à la propriété sIDHistory. Si la valeur de l’attribut sIDHistory de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici.

  • Heures d’ouverture de bureau [Type = UnicodeString]: heures pendant les heures d’ouverture de compte pour le domaine. Si la valeur de l’attribut logonHours de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici. Pour les objets ordinateur, il est facultatif et n’est généralement pas définie. Vous pouvez modifier cet attribut à l’aide d’Utilisateurs et ordinateurs Active Directory ou d’un script, par exemple.

  • Nom d’hôte DNS [Type = UnicodeString]: nom du compte d’ordinateur tel qu’inscrit dans DNS. Si la valeur de l’attribut dNSHostName de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici.

  • Noms principaux de service [Type = UnicodeString]**** : liste des noms principaux de service, enregistrée pour le compte d’ordinateur. Si la liste SPN d’un compte d’ordinateur a changé, la nouvelle liste SPN s’inséra dans le champ Noms principaux du service (notez que vous verrez la nouvelle liste au lieu de modifier). Si la valeur de l’attribut servicePrincipalName de l’objet ordinateur a été modifiée, vous verrez la nouvelle valeur ici.

    Voici un exemple de champ Noms principaux de service pour la nouvelle station de travail jointe au domaine dans l’événement 4742 sur le contrôleur de domaine, après le redémarrage de la station de travail :

    HOST/Win81.contoso.local

    RestrictedKrbHost/Win81.contoso.local

    HÔTE/WIN81

    RestrictedKrbHost/WIN81

TERMSRV/Win81.contoso.local

Informations supplémentaires :

  • Privilèges [Type = UnicodeString]: liste des privilèges d’utilisateur qui ont été utilisés pendant l’opération, par exemple, SeBackupPrivilege. Il se peut que ce paramètre ne soit pas capturé dans l’événement et, dans ce cas, il s’affiche sous la valeur « - ». Consultez la liste complète des privilèges utilisateur dans le « Tableau 8. Privilèges d’utilisateur. »

Recommandations en matière de surveillance de la sécurité

Pour 4742(S) : un compte d’ordinateur a été modifié.

****   Important   Pour cet événement, voir également l’Annexe A : Recommandations de surveillance de la sécurité pour de nombreux événements d’audit.

  • Si vous avez des comptes d’ordinateur de domaine critiques (serveurs de base de données, contrôleurs de domaine, stations de travail d’administration, etc.) pour lesquels vous devez surveiller chaque modification, surveillez cet événement avec l’ID « Compte d’ordinateur qui a été modifié\ID de sécurité » qui correspond au ou aux comptes à valeur élevée.

  • Si vous avez des comptes d’ordinateur pour **** lesquels toute modification dans la liste des services sous l’onglet Délégation doit être surveillée, surveillez cet événement lorsque AllowedToDelegateTo n’est pas -. Cette valeur signifie que la liste des services a été modifiée.

  • Pensez à suivre les champs et valeurs suivants :

Champ et valeur à suivre Raison de suivre
Le nom complet n’est pas -
Le nom d’utilisateur principal n’est pas -
Home Directory n’est pas -
Home Drive n’est pas -
Le chemin d’accès du script n’est pas -
Le chemin d’accès du profil n’est pas -
Les stations de travail utilisateur ne sont pas -
Le compte expire n’est pas -
Les heures d’ouverture de bureau ne sont pas -
En règle générale, ces champs - sont pour les comptes d’ordinateur. D’autres valeurs peuvent indiquer une anomalie et doivent être surveillées.
Les modifications apportées au dernier mot de passe se produisent plus souvent que d’habitude Les modifications plus fréquentes que la valeur par défaut (généralement une fois par mois) peuvent indiquer une anomalie ou une attaque.
L’ID de groupe principal n’est pas 516, 521 ou 515 En règle générale, la valeur de l’ID de groupe principal est l’une des valeurs suivantes :
516 pour les contrôleurs de domaine
521 pour les contrôleurs de domaine en lecture seule
515 pour les serveurs et les stations de travail (ordinateurs de domaine)
Les autres valeurs doivent être surveillées.
Pour les comptes d’ordinateur pour **** lesquels la liste des services (sous l’onglet Délégation) ne doit pas être vide : AllowedToDelegateTo est marqué comme valeur non ** < définie > ** Si AllowedToDelegateTo ** < > ** est marqué comme une valeur non définie **** sur les ordinateurs qui avaient auparavant une liste de services (sous l’onglet Délégation), cela signifie que la liste a été effacée.
L’historique SID n’est pas - Ce champ est toujours définie sur - sauf si le compte a été migré à partir d’un autre domaine.
  • Pensez à suivre les indicateurs de contrôle de compte suivants :
Indicateur de contrôle de compte d’utilisateur à suivre Informations sur l’indicateur
« Mot de passe non requis » : activé Ne doit pas être définie pour les comptes d’ordinateur. Les comptes d’ordinateur nécessitent généralement un mot de passe par défaut, à l’exception des objets ordinateur créés manuellement.
« Mot de passe texte chiffré autorisé » : activé Ne doit pas être définie pour les comptes d’ordinateur. Par défaut, elle ne sera pas définie et ne peut pas être définie dans les propriétés du compte dans Utilisateurs et ordinateurs Active Directory.
« Compte d’trust de serveur » : activé Doit être activé uniquement pour les contrôleurs de domaine.
« Compte d’trust de serveur » : désactivé Ne doit pas être désactivé pour les contrôleurs de domaine.
« Ne pas expirer le mot de passe » : activé Ne doit pas être activé pour les comptes d’ordinateur, car le mot de passe change automatiquement tous les 30 jours par défaut. Pour les comptes d’ordinateur, cet indicateur ne peut pas être définie dans les propriétés du compte dans Utilisateurs et ordinateurs Active Directory.
« Carte à puce requise » : activé Ne doit pas être activé pour les comptes d’ordinateur.
« Approuvé pour délégation » : activé Signifie que la délégation Kerberos Constraint ou Unconstraint a été activée pour le compte d’ordinateur. Nous vous recommandons de le surveiller pour déterminer s’il s’agit d’une action approuvée (effectuée par un administrateur), d’une erreur ou d’une action malveillante.
« Approuvé pour délégation » : désactivé Signifie que la contrainte Kerberos ou la délégation Unconstraint a été désactivée pour le compte d’ordinateur. Nous vous recommandons de le surveiller pour déterminer s’il s’agit d’une action approuvée (effectuée par un administrateur), d’une erreur ou d’une action malveillante.
En outre, si vous avez une liste de comptes d’ordinateur pour lesquels la délégation est essentielle et ne doit pas être désactivée, surveillez-le pour ces comptes.
« Approuvé pour l’authentification pour la délégation » : activé Signifie que la délégation de transition de protocole a été activée pour le compte d’ordinateur. Nous vous recommandons de le surveiller pour déterminer s’il s’agit d’une action approuvée (effectuée par un administrateur), d’une erreur ou d’une action malveillante.
« Approuvé pour l’authentification pour la délégation » : désactivé Signifie que la délégation de transition de protocole a été désactivée pour le compte d’ordinateur. Nous vous recommandons de le surveiller pour déterminer s’il s’agit d’une action approuvée (effectuée par un administrateur), d’une erreur ou d’une action malveillante.
En outre, si vous avez une liste de comptes d’ordinateur pour lesquels la délégation est essentielle et ne doit pas être désactivée, surveillez-le pour ces comptes.
« Non délégué » : activé Signifie que le compte est sensible et ne peut pas être délégué a été sélectionné pour le compte d’ordinateur. Pour les comptes d’ordinateur, cet indicateur ne peut pas être définie à l’aide de l’interface graphique. Nous vous recommandons de le surveiller pour déterminer s’il s’agit d’une action approuvée (effectuée par un administrateur), d’une erreur ou d’une action malveillante.
« Utiliser la touche DES uniquement » : activé Ne doit pas être activé pour les comptes d’ordinateur. Pour les comptes d’ordinateur, il ne peut pas être définie dans les propriétés du compte dans Utilisateurs et ordinateurs Active Directory.
' Don’t Require Preauth' - Enabled Ne doit pas être activé pour les comptes d’ordinateur. Pour les comptes d’ordinateur, il ne peut pas être définie dans les propriétés du compte dans Utilisateurs et ordinateurs Active Directory.